Supprimer complètement un virus

Bonjour,

--> Télécharge UsbFix (par El Desaparecido & C_XX) sur ton Bureau.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le programme UsbFix situé sur ton Bureau.

--> Choisis l'option Recherche.

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Voilà le rapport:

############################## | UsbFix 7.031 | [Recherche]

Utilisateur: alyce (Administrateur) # PC-DE-ALYCE [Hewlett-Packard HP Pavilion dv6500 Notebook PC]
Mis à jour le 16/10/10 par El Desaparecido / C_XX
Lancé à 20:32:58 | 16/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com

CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 185 Go (63 Go libre(s) - 34%) [] # NTFS
D:\ -> Disque fixe # 7 Go (2 Go libre(s) - 31%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (181 Go libre(s) - 39%) [FREECOM HDD] # FAT32
H:\ -> Disque amovible # 15 Go (9 Go libre(s) - 62%) [CORSAIR] # NTFS

################## | Éléments infectieux |

Présent! C:\Users\Public\C-76947-8457-2745
Présent! C:\Windows\system32\autorun.inf
Présent! C:\Windows\system32\winrtsnr.txt

################## | Registre |

Présent! HKCU\Software\Microsoft\Handle
Présent! HKCU\Software\XML
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Metropolis
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|WindowsDriverControl

################## | Mountpoints2 |

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur UsbFix présent sur ton Bureau.

--> Choisis l'option Suppression.

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Le second rapport:
############################## | UsbFix 7.031 | [Suppression]

Utilisateur: alyce (Administrateur) # PC-DE-ALYCE [Hewlett-Packard HP Pavilion dv6500 Notebook PC]
Mis à jour le 16/10/10 par El Desaparecido / C_XX
Lancé à 22:12:43 | 16/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@arx-services.com

CPU: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 185 Go (63 Go libre(s) - 34%) [] # NTFS
D:\ -> Disque fixe # 7 Go (2 Go libre(s) - 31%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (181 Go libre(s) - 39%) [FREECOM HDD] # FAT32
H:\ -> Disque amovible # 15 Go (9 Go libre(s) - 62%) [CORSAIR] # NTFS

################## | Éléments infectieux |

Supprimé! C:\Users\Public\C-76947-8457-2745
Supprimé! C:\Windows\system32\autorun.inf
Supprimé! C:\Windows\system32\winrtsnr.txt
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1082360604-3016013705-2680011867-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1082360604-3016013705-2680011867-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-992987720-3198020690-3964288938-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1082360604-3016013705-2680011867-1000
Supprimé! H:\2u.com

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Handle
Supprimé! HKCU\Software\XML
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Metropolis
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|WindowsDriverControl

################## | Mountpoints2 |

################## | Listing |

[16/10/2010 - 22:13:56 | SHD ] C:\$RECYCLE.BIN
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[10/07/2010 - 13:10:34 | D ] C:\boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[16/10/2010 - 20:30:41 | D ] C:\Config.Msi
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[23/06/2010 - 00:10:23 | SHD ] C:\Documents and Settings
[22/09/2010 - 15:50:00 | D ] C:\fl
[18/05/2007 - 04:23:21 | D ] C:\HP
[18/05/2007 - 03:09:25 | D ] C:\Intel
[30/03/2007 - 13:06:52 | D ] C:\MCPP
[30/09/2010 - 20:41:15 | RHD ] C:\MSOCache
[16/10/2010 - 20:26:59 | ASH | 2459627520] C:\pagefile.sys
[01/08/2010 - 15:38:42 | D ] C:\PerfLogs
[08/10/2010 - 20:26:19 | D ] C:\Program Files
[16/10/2010 - 20:49:43 | HD ] C:\ProgramData
[26/07/2010 - 22:15:22 | | 704] C:\sqmnoopt00.sqm
[23/06/2010 - 00:19:58 | D ] C:\SwSetup
[13/10/2010 - 13:06:55 | SHD ] C:\System Volume Information
[23/06/2010 - 00:19:58 | D ] C:\System.sav
[16/10/2010 - 22:13:57 | D ] C:\UsbFix
[16/10/2010 - 22:12:53 | A | 2785] C:\UsbFix.txt
[23/06/2010 - 00:13:48 | D ] C:\Users
[16/10/2010 - 18:36:00 | D ] C:\WINDOWS
[16/10/2010 - 22:13:56 | SHD ] D:\$RECYCLE.BIN
[11/09/2005 - 17:18:54 | N | 340] D:\AUTOMODE
[23/06/2010 - 00:18:18 | N | 13] D:\BLOCK.RIN
[23/06/2010 - 01:05:45 | D ] D:\BOOT
[03/10/2006 - 23:02:44 | SH | 438328] D:\bootmgr
[03/11/2006 - 21:43:28 | SH | 117] D:\Desktop.ini
[23/06/2010 - 00:48:23 | N | 0] D:\DRECOVERY
[10/09/2002 - 18:14:28 | N | 8134] D:\Folder.htt
[23/06/2010 - 01:05:45 | D ] D:\HP
[23/09/2008 - 18:56:27 | N | 32] D:\HPCD.sys
[23/09/2008 - 18:56:06 | N | 760] D:\Master.log
[23/06/2010 - 01:05:45 | D ] D:\preload
[03/11/2005 - 17:19:52 | N | 181736] D:\protect.ed
[23/06/2010 - 01:05:45 | RD ] D:\RECOVERY
[23/06/2010 - 01:05:45 | D ] D:\SOURCES
[23/06/2010 - 00:09:59 | SHD ] D:\System Volume Information
[23/06/2010 - 01:05:45 | D ] D:\Tools
[23/06/2010 - 01:05:45 | D ] D:\WINDOWS
[13/10/2010 - 15:31:27 | D ] H:\.Trash-1000
[07/09/2010 - 16:49:54 | D ] H:\1ère
[07/09/2009 - 12:18:32 | N | 4616192] H:\AFFICHEURS A CRISTAUX LIQUIDES prof.doc
[27/09/2010 - 15:11:14 | N | 782] H:\Aymeric&Alysson.rw3
[07/10/2010 - 11:51:50 | D ] H:\Debian
[22/02/2010 - 20:15:52 | N | 196096] H:\Documents carte pic.doc
[13/10/2010 - 23:11:49 | N | 686278] H:\dossier_flowcode_sourceboost.docx
[22/02/2010 - 19:57:03 | N | 609792] H:\explications PWM.doc
[06/10/2010 - 15:39:06 | N | 57817] H:\F1.jpg
[12/10/2010 - 10:29:47 | N | 148584] H:\F2.jpg
[06/10/2010 - 16:15:48 | N | 157099] H:\F2bidon.jpg
[06/10/2010 - 15:52:19 | N | 51371] H:\F3.jpg
[06/10/2010 - 15:55:07 | N | 36445] H:\F4.jpg
[06/10/2010 - 16:02:13 | N | 49668] H:\F5_1.jpg
[12/10/2010 - 11:32:46 | N | 219718] H:\F5_2.jpg
[12/10/2010 - 11:31:05 | N | 345182] H:\F5_2.xcf
[23/09/2010 - 13:00:56 | D ] H:\Flowcode
[16/09/2010 - 08:19:23 | D ] H:\flowcode sans clef
[07/09/2010 - 15:53:58 | D ] H:\Logiciel Sourceboost Pour Pic
[11/08/2010 - 21:23:31 | N | 734996480] H:\Saw VI.avi
[04/09/2010 - 14:30:48 | D ] H:\sourceboost
[30/09/2010 - 08:30:59 | D ] H:\terminal
[25/02/2010 - 12:10:10 | N | 76800] H:\TP MLI.doc
[08/10/2008 - 10:43:12 | N | 1321984] H:\TP pic flowcode.doc
[12/03/2010 - 16:11:02 | D ] H:\Windows 7 AiO v4 M7V
[12/10/2010 - 09:43:03 | N | 162] H:\~$ssier_flowcode_sourceboost.docx
[13/10/2010 - 17:17:58 | N | 682667] H:\~WRL3734.tmp

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-ALYCE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

Part contre le pc n'a pas redémarrer
################## | E.O.F |

---> Relance UsbFix et choisis Désinstaller.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4858

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

17/10/2010 12:27:35
mbam-log-2010-10-17 (12-27-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 139685
Temps écoulé: 5 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\koo9rv9k4z (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Le PC va mieux ?

--> Relance MBAM, va dans Quarantaine et supprime tout.

--> Télécharge OTL (de OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
--> Coche également les cases à côté de Recherche Lop et Recherche Purity.
--> Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

Le Pc va bien, merci

Le rapport OTL.Txt :
http://www.cijoint.fr/cjlink.php?file=cj201010/cijMyuTTca.txt

Le rapport Extras.Txt :
http://www.cijoint.fr/cjlink.php?file=cj201010/cijDiQv1ql.txt

1/

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Clique droit sur ToolsCleaner2.exe et choisis Exécuter en tant qu'administrateur.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.

==Prévention==

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien

Sois plus vigilant(e) sur Internet ;)

Voilà le rapport Tcleaner :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\Users\alyce\AppData\Local\Opera\Opera\temporary_downloads\UsbFix.exe: trouvé !
C:\Users\alyce\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: trouvé !
C:\Users\alyce\Desktop\UsbFix.exe: trouvé !

---------------------------------
--> Suppression:

C:\UsbFix\UsbFix.exe: supprimé !
C:\Users\alyce\AppData\Local\Opera\Opera\temporary_downloads\UsbFix.exe: supprimé !
C:\Users\alyce\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: supprimé !
C:\Users\alyce\Desktop\UsbFix.exe: supprimé !
C:\UsbFix: supprimé !

J'essaie d'etre vigilante mais c'est pas toujours facile, en plus on parlait de photo et le virus envoyai un message regarde cette photo donc c'était dans le contexte de la conversation.

C'est sûr.

Tu peux supprimer ToolsCleaner.